Mengenai konten keamanan OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 dan Pembaruan Keamanan 2012-004
Pelajari mengenai konten keamanan OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 dan Pembaruan Keamanan 2012-004.
Dokumen ini menjelaskan konten keamanan dari OS X Mountain Lion v10.8.2, OS X Lion v10.7.5, dan Pembaruan Keamanan 2012-004.
Demi melindungi pelanggan kami, Apple tidak mengungkapkan, membahas, atau mengonfirmasi masalah keamanan hingga investigasi menyeluruh telah dilakukan dan perbaikan program atau rilis yang diperlukan telah tersedia. Untuk mempelajari Keamanan Produk Apple lebih lanjut, kunjungi situs web Keamanan Produk Apple.
Untuk mengetahui informasi mengenai Kunci PGP Keamanan Produk Apple, baca "Cara menggunakan Kunci PGP Keamanan Produk Apple."
Jika memungkinkan, ID CVE digunakan sebagai referensi untuk mengetahui informasi lebih lanjut mengenai kerentanan.
Untuk mempelajari Pembaruan Keamanan lainnya, baca "Pembaruan Keamanan Apple".
OS X Mountain Lion v10.8.2, OS X Lion v10.7.5 dan Pembaruan Keamanan 2012-004
Perhatikan: OS X Mountain Lion v10.8.2 menyertakan konten Safari 6.0.1. Untuk detail lebih lanjut lihat Tentang konten keamanan Safari 6.0.1.
Apache
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Beberapa kerentanan dalam Apache
Deskripsi: Apache diperbarui ke versi 2.2.22 untuk mengatasi berbagai kerentanan, yang paling berat dapat mengakibatkan penolakan layanan. Informasi lebih lanjut tersedia melalui situs web Apache di http://httpd.apache.org/. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2011-3368
CVE-2011-3607
CVE-2011-4317
CVE-2012-0021
CVE-2012-0031
CVE-2012-0053
BIND
Tersedia untuk: OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Penyerang dari jauh mungkin dapat menyebabkan penolakan layanan dalam sistem yang dikonfigurasikan untuk menjalankan BIND sebagai nama server DNS
Deskripsi: Masalah pernyataan yang dapat dijangkau terjadi dalam penanganan data DNS. Masalah ini diatasi dengan memperbarui ke BIND 9.7.6-P1. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2011-4313
BIND
Tersedia untuk: OS X Lion v10.7 pada v10.7.4, OS X Lion Server v10.7 pada v10.7.4, OS X Mountain Lion v10.8 dan v10.8.1
Dampak: Penyerang dari jauh mungkin dapat menyebabkan penolakan layanan, kerusakan data, atau perolehan informasi sensitif dari memori pemrosesan dalam sistem yang dikonfigurasikan untuk menjalankan BIND sebagai nama server DNS
Deskripsi: Masalah pengelolaan memori terjadi dalam penanganan data DNS. Masalah ini diatasi dengan memperbarui ke BIND 9.7.6-P1 pada sistem OS X Lion dan BIND 9.8.3-P1 pada sistem OS X Mountain Lion.
CVE-ID
CVE-2012-1667
CoreText
Tersedia untuk: OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Aplikasi yang menggunakan CoreText dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Masalah pemeriksaan batas yang terjadi dalam penanganan glyphs teks, yang dapat mengakibatkan terlampauinya memori baca atau tulis. Masalah ini telah diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem Mac OS X v10.6 atau sistem OS X Mountain Lion.
CVE-ID
CVE-2012-3716 : Jesse Ruderman dari Mozilla Corporation
Keamanan Data
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4, OS X Mountain Lion v10.8 dan v10.8.1
Dampak: Penyerang dengan posisi jaringan yang memiliki hak istimewa dapat mengganggu informasi pengesahan pengguna atau informasi rahasia lainnya
Deskripsi: TrustWave, sumber CA yang tepercaya, telah mengeluarkan dan kemudian mencabut sertifikat sub-CA dari salah satu jangkar tepercaya. Sub-CA ini memfasilitasi cegatan komunikasi yang dilindungi oleh Transport Layer Security (TLS). Pembaruan ini menambahkan sertifikat sub-CA yang disertakan ke daftar sertifikat OS X yang tidak tepercaya.
DirectoryService
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8
Dampak: Jika Proksi DirectoryService digunakan, penyerang dari jauh dapat menyebabkan penolakan layanan atau eksekusi kode arbitrer
Deskripsi: Aliran buffer terjadi di Proksi DirectoryService. Masalah ini telah diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Lion dan sistem Mountain Lion.
CVE-ID
CVE-2012-0650 : aazubel bekerja sama dengan Zero Day Initiative HP
ImageIO
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Menampilkan gambar PNG yang dibuat secara berbahaya dapat mengakibatkan penghentian aplikasi tak terduga atau eksekusi kode arbitrer
Deskripsi: Beberapa masalah kerusakan memori yang terjadi dalam penanganan libpng gambar PNG. Masalah ini diatasi melalui validasi gambar PNG yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2011-3026 : Jüri Aedla
CVE-2011-3048
ImageIO
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Menampilkan gambar TIFF yang dibuat secara berbahaya dapat mengakibatkan penghentian aplikasi tak terduga atau eksekusi kode arbitrer
Deskripsi: Masalah aliran bilangan bulat terjadi dalam penanganan libTIFF dari gambar TIFF. Masalah ini diatasi melalui validasi gambar TIFF yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2012-1173 : Alexander Gavrun bekerja sama dengan Zero Day Initiative HP
Penginstal
Tersedia untuk: OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Admin Remote dan orang dengan akses fisik ke sistem dapat memperoleh informasi akun
Deskripsi: Perbaikan untuk CVE-2012-0652 di OS X Lion 10.7.4 mencegah sandi pengguna agar tidak dicatat dalam log sistem, namun tidak menghapus entri log yang lama. Masalah ini diatasi dengan menghapus file log yang berisi sandi. Masalah ini tidak memengaruhi sistem Mac OS X 10.6 atau sistem OS X Mountain Lion.
CVE-ID
CVE-2012-0652
Komponen Internasional untuk Unicode
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Aplikasi yang menggunakan ICU dapat menjadi rentan terhadap aplikasi yang berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kumpulan aliran buffer terjadi dalam penangan ID lokal ICU. Masalah ini telah diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2011-4599
Kernel
Tersedia untuk: OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Program berbahaya dapat melewatkan pembatasan kotak pasir
Deskripsi: Masalah log terjadi dalam penanganan panggilan sistem debug. Hal ini dapat memungkinkan program berbahaya untuk memperoleh eksekusi kode di program lain dengan hak istimewa pengguna yang sama. Masalah ini diatasi dengan menonaktifkan penanganan alamat di PT_STEP dan PT_CONTINUE. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2012-0643 : iOS Jailbreak Dream Team
LoginWindow
Tersedia untuk: OS X Mountain Lion v10.8 dan v10.8.1
Dampak: Pengguna lokal mungkin dapat memperoleh kata sandi login pengguna lain
Deskripsi: Metode masukan yang dipasang pengguna dapat mengganggu penekanan sandi dari Login Window atau Screen Saver Unlock. Masalah ini diatasi dengan mencegah metode yang dipasang pengguna agar tidak digunakan ketika sistem menangani informasi login.
CVE-ID
CVE-2012-3718: Lukhnos Liu
Mail
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Menampilkan pesan email dapat mengakibatkan pada eksekusi plugin web
Deskripsi: Kesalahan validasi masukan terjadi dalam penanganan Mail dari plugin web yang disematkan. Masalah ini diatasi dengan menonaktifkan plugin pihak ketiga dalam Mail. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2012-3719 : Will Dormann dari CERT/CC
Akun Seluler
Tersedia untuk: OS X Mountain Lion v10.8 dan v10.8.1
Dampak: Pengguna dengan akses ke konten akun seluler dapat memperoleh kata sandi akun
Deskripsi: Membuat akun seluler menyimpan ciri sandi di akun, yang digunakan untuk masuk ketika akun seluler digunakan sebagai akun eksternal. Ciri kata sandi dapat digunakan untuk menentukan sandi pengguna. Masalah ini diatasi dengan membuat ciri kata sandi hanya jika akun eksternal diaktifkan pada sistem tempat akun seluler dibuat.
CVE-ID
CVE-2012-3720 : Harald Wagener dari Google, Inc.
PHP
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4, OS X Mountain Lion v10.8 dan v10.8.1
Dampak: Beberapa kerentanan dalam PHP
Deskripsi: >PHP diperbarui ke versi 5.3.15 untuk mengatasi beberapa kerentanan yang paling berat yang dapat mengakibatkan eksekusi kode arbitrer. Informasi lebih lanjut tersedia melalui situs web PHP di http://www.php.net
CVE-ID
CVE-2012-0831
CVE-2012-1172
CVE-2012-1823
CVE-2012-2143
CVE-2012-2311
CVE-2012-2386
CVE-2012-2688
PHP
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Skrip PHP yang menggunakan Libpng dapat menjadi rentan terhadap penghentian aplikasi yang tak terduga atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi dalam penanganan file PNG. Masalah ini diatasi dengan memperbarui salinan libpng PHP ke versi 1.5.10. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2011-3048
Pengelola Profil
Tersedia untuk: OS X Lion Server v10.7 pada v10.7.4
Dampak: Pengguna yang tidak disahkan dapat menghitung perangkat yang terkelola
Deskripsi: Masalah pengesahan terjadi di antarmuka pribadi Pengelolaan Perangkat. Masalah ini diatasi dengan menghapus antarmuka.
Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2012-3721 : Derick Cassidy dari XEquals Corporation
QuickLook
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Menampilkan file .pict yang dibuat secara berbahaya dapat mengakibatkan penghentian aplikasi tak terduga atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi dalam penanganan file .pict. Masalah ini diatasi melalui validasi file .pict yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2012-0671 : Rodrigo Rubira Branco (twitter.com/bsdaemon) dari Qualys Vulnerability & Malware Research Labs (VMRL)
QuickTime
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Aliran bilangan bulat terjadi dalam penanganan QuickTime dari atom sean. Masalah ini telah diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2012-0670 : Tom Gallagher (Microsoft) dan Paul Bates (Microsoft) bekerja dengan Zero Day Initiative HP
QuickTime
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Akses memori yang tidak diinisialisasi terjadi dalam penanganan file film yang dikodekan Sorenson. Masalah ini diatasi melalui inisialisasi memori yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2012-3722 : Will Dormann dari CERT/CC
QuickTime
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Menampilkan file film perusak yang berbahaya dapat mengakibatkan aplikasi berhenti tiba-tiba atau eksekusi kode arbitrer
Deskripsi: Kelebihan aliran buffer terjadi dalam penanganan dari file film yang dikodekan RLE. Masalah ini telah diatasi melalui pemeriksaan batas yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2012-0668 : Luigi Auriemma bekerja dengan Zero Day Initiative HP
Ruby
Tersedia untuk: Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Penyerang mungkin dapat mendekripsi data yang dilindungi oleh SSL
Deskripsi: Terdapat serangan yang dikenal pada kerahasiaan SSL 3.0 dan TLS 1.0 ketika rangkaian chiper menggunakan pencekalan chiper di mode CBC. Modul Ruby OpenSSL menonaktifkan tindakan balasan 'fragmen kosong' yang mencegah serangan tersebut. Masalah ini diatasi dengan mengaktifkan fragmen kosong. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2011-3389
USB
Tersedia untuk: OS X Lion v10.7 hingga v10.7.4, OS X Lion Server v10.7 hingga v10.7.4
Dampak: Melampirkan perangkat USB dapat mengakibatkan penghentian sistem tak terduga atau eksekusi kode arbitrer
Deskripsi: Masalah kerusakan memori terjadi dalam penanganan deskriptor konektor USB. Masalah ini diatasi melalui penanganan bidang deskriptor bNbrPorts yang ditingkatkan. Masalah ini tidak memengaruhi sistem OS X Mountain Lion.
CVE-ID
CVE-2012-3723 : Andy Davis pada NGS Secure
Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.